Иностранные политики, сотрудники государственных структур и журналисты в разных странах стали жертвами масштабной кампании по захвату аккаунтов в мессенджере Signal. Расследование международной команды фактчекеров и экспертов по кибербезопасности указывает на возможную причастность хакеров, которых связывают с российскими государственными структурами.
Потенциальным жертвам приходили сообщения с профиля под названием Signal Support. В них утверждалось, что учетная запись якобы находится под угрозой, а для защиты нужно ввести PIN‑код, присланный приложением. После ввода кода злоумышленники получали контроль над аккаунтом, могли видеть список контактов и читать входящие сообщения.
Помимо этого, хакеры рассылали ссылки, похожие на приглашения в канал WhatsApp, но ведущие на фишинговые сайты, созданные для кражи данных.
Среди пострадавших оказался бывший заместитель главы немецкой внешней разведки BND Арндт Фрейтаг фон Лоринговен. Свой аккаунт также потерял англо‑американский финансист и критик российских властей Билл Браудер.
О попытках захвата учетных записей высокопоставленных лиц и военных в Signal и WhatsApp сообщила и разведывательная служба Нидерландов. Там предположили, что за кампанией стоят российские спецслужбы, однако конкретных доказательств не привели. Похожее предупреждение выпустило и ФБР США.
Представители Signal заявили, что знают о происходящем и относятся к этим сообщениям предельно серьезно. При этом компания подчеркнула, что речь не идет об уязвимости системы шифрования — злоумышленники используют обман и социальную инженерию, а не взлом протоколов защиты.
Исследователям удалось установить, что фишинговые сайты были размещены на серверах хостинг‑провайдера Aeza. Этот провайдер уже ранее фигурировал в историях о пропагандистских и преступных онлайн‑операциях, которые связывали с российскими государственными структурами. Сейчас Aeza и ее основатель находятся под санкциями США и Великобритании.
Во вредоносные сайты был встроен фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным специалистов, разработчиком инструмента является молодой фрилансер из Москвы. Первоначально «Дефишер» создавался для использования киберпреступниками, однако примерно год назад им начали активно пользоваться и хакерские группы, которых эксперты связывают с государством.
По оценке экспертов по информационной безопасности, за этой кампанией может стоять группировка UNC5792. Эту структуру ранее обвиняли в аналогичных фишинговых атаках в разных странах.
Около года назад аналитики Google публиковали расследование, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
